虚拟局域网

LOGO

虚拟局域网

虚拟局域网

4.2 虚拟局域网的划分2

4.4 虚拟局域网中数据的转发4

4.1 虚拟局域网概述31

4.3 虚拟局域网的基本配置33

4.5 三层交换技术5

4.1 虚拟局域网概述

广播风暴的产生

广播风暴导致的后果虚拟局域网的产生

如何解决广播风暴的问题


冲突域广播域

中继器连接的两个网段构成一个冲突域

构成一个广播域

网桥连接的两个网段构成不同的冲突域

同属一个广播域

集线器所有接口上的主机共同构成一个冲突域

所有接口上的主机也同属一个广播域

路由器每个接口属于一个广播域

交换机每个接口属于一个冲突域所有的接口属于同一个广播域


在交换机构成的网络中，所有设备都会转发广播帧，因此任何一个广播帧或多播帧（ Multicast Frame ）都将被广播到整个局域网中的每一台主机，如图 4-1 所示，主机 A 向主机 B 通信，它首先广播一个 ARP 请求，以获取主机 B的MAC 地址；此时主机 A 上连的二层交换机收到 ARP 广播后，会将它转发给除接收端口外的其他所有端口，也就是 Flooding 泛洪；接着，其他的收到这个广播帧的交换机（包括三层交换机）也会作同样的处理，最终 ARP 请求会被转发到同一网络中的所有主机上；如果此时网络中的其他主机也要和别的主机进行通信，必然产生大量的广播。


图 4-1 ARP 广播扩散

广播风暴导致的后果

在网络通信中，广播信息是普遍存在的，这些广播帧将占用大量的网络带宽，导致网络速度和通信效率的下降，并额外增加了网络主机为处理广播信息所产生的负荷。

那么如何解决广播风暴的问题（在交换机上划分 vlan）

路由器能实现对广播域的分割和隔离。但路由器所带的以太网接口数量很少，一般为 1-4 个，远远不能满足对网络分段的需要，而交换机配备有较多的以太网端口，为在交换机中实现不同网段的广播隔离产生了 VLAN 交换技术。

一个 VLAN 就是一个网段，通过在交换机上划分 VLAN （同一交换机上可划分不同的 VLAN ，不同的交换机上可属于同一个 VLAN ），可将一个大的局域网划分成若干个网段，每个网段内所有主机间的通信和广播仅限于该VLAN 内，那么广播帧不会被转发到其他网段。即一个 VLAN 就是一个广播域， VLAN 间不能直接通信，从而实现了对广播域的分割和隔离。

图 4-2 VLAN 的广播域

4.2 虚拟局域网的划分

4.2.1 VLAN 的划分方法在实际应用中，通常需要跨越多台交换机的多个端口划分

VLAN ，比如，同一个部门的员工，可能会分布在不同的建筑物或不同的楼层中，此时的 VLAN ，将跨越多台交换机， VLAN 的划分不受网络端口的实际物理位置的限制，如图 4-5 所示。

图 4-5 跨交换机划分 VLAN

VLAN 的划分方法

1. 静态

静态实现方式中，网络管理员将交换机端口分配给某一个 VLAN 。这种配置简单、安全、易于实现和监视。

虚拟局域网的实现有两种

2. 动态动态实现方式中，管理员必须先建立一个较复杂的数据库，例如输入要连接的网络设备的MAC 地址及相应的 VLAN 号，这样，当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的VLAN 。动态 VLAN 的配置可以基于网络设备的 MAC 地址、 IP 地址、应用或者所使用的协议。实现动态 VLAN 时必须利用管理软件来进行管理。在 CISCO 交换机上可以使用 VLAN 管理策略服务器（ VMPS ）实现基于 MAC 地址的动态 VLAN 配置。它建立MAC 地址与 VLAN 的映射表。

按照定义 VLAN 成员关系的不同，虚拟局域网有以下几种：

基于端口的 VLAN 基于策略的 VLAN

基于协议的 VLAN

基于 MAC 地址的 VLAN

基于 IP 组播 VLAN

基于 IP 子网的 VLAN

其中只有按端口号划分的属于静态方式，其余的都属于动态方式。

1 ．基于端口的 VLAN

针对交换机的端口进行 VLAN 的划分，它不受接在交换机端口上的主机的变化而变化，是目前最常用的一种 VLAN 划分方法。

实际上它是一些交换端口的集合，管理员只需管理和配置这些交换端口，而不管交换端口连接的是什么设备（ PC 机、交换机、路由器等），

此种方法简单有效， VLAN 从逻辑上把交换机端口划分为不同的逻辑子网，各虚拟子网相对独立。但是当一个客户站从一个端口移到另一个端口时，网管人员将不得不对 VLAN 成员进行重新配置。

锐捷网络的交换设备上基于端口的 VLAN 分为 Port-VLAN和 Tag-VLAN 两类，其对应用的模式为 Access和 Trunk， Access模式所对应的端口只能属于一个 Port-VLAN， Trunk模式所对应的端口可以透明地传输交换机上所有的 VLAN 帧，作为跨交换机的相同 VLAN 中数据传输之用。 Trunk 端口默认是属于交换机上所有 VLAN 的，并可以通过设置许可来限制某些 VLAN 不能通过。 Trunk 端口可以指定一个Native-VLAN ，凡是属于此 Native-VLAN 的数据包在经过 Trunk 端口时，去除其 Tag-VLAN 的标记。

2. 基于协议的 VLAN

在一个多类型的协议环境中，通过区分传输数据所用的三层协议来划分 VLAN 的成员。但在一个主要以 IP 协议为主的网络环境中，这种方法不太实用。

3. 基于 MAC 地址的 VLAN

基于主机的 MAC 地址进行 VLAN 划分，是由管理人员指定属于同一个 VLAN 中的各服务器和客户机的 MAC 地址，该 VLAN 是一些 MAC 地址的集合。

新站点入网时根据需要将其划归至某一个 VLAN 。优点：无论该站点在网络中怎样移动，由于其 MAC 地址保持不变，因此用户不需要进行网络地址的重新配置，不需要重新划分 VLAN 。因此，用 MAC 地址定义的 VLAN可能看成是基于用户的 VLAN 。

缺点：在站点入网时，所有的用户都必须被配置（手工方式）到至少一个 VLAN 中，只有在此种手工配置之后方可实现对 VLAN 成员的自动跟踪。因此在大型网络中采用此方法，初始配置工作会很大。

常仅用此方法将服务器的 MAC 地址、端口、 VLAN 一起绑定，以提高安全性。

4. 基于 IP子网的 VLAN

IP子网指 OSI模型的网络层，是第三层协议。基于第三层协议的 VLAN 实现，在决定 VLAN 成员身份时主要是考虑协议类型或网络层地址。根据每个主机的网络层地址或协议类型来划分 VLAN ，此种类型的 VLAN 划分需要将子网地址映射到 VLAN ，交换设备则根据子网地址而将各机器的 MAC 地址同一个 VLAN联系起来。

优点：新站点在入网时无需进行太多配置，交换机则根据各站点网络地址自动将其划分成不同的 VLAN ，并且在第三层上定义的 VLAN 将不再需要报文标识，从而可以消除在交换设备之间传递 VLAN 成员信息而花费的开销。

在三种 VLAN 的实现技术中，基于网络地址的 VLAN智能化程度最高，实现起来也最复杂。一个客户可以属于多个VLAN 。目前按端口号划分虚拟局域网应用较广泛。

5 ．基于 IP组播的 VLAN

基于组播应用进行用户的划分，即将同一个组播组划分在同一 VLAN 中，这种划分方法可以将 VLAN 扩大到广域网，灵活性更大，能通过路由器进行扩展，但不太适合于局域网，其效率不高。

6 ．基于策略的 VLAN

基于策略的 VLAN 是一种比较灵活有效的 VLAN划分方法。该方法的核心是采用某一策略来进行VLAN 的划分。目前，常用的策略有：

按MAC 地址按 IP 地址按以太网协议类型按网络应用

4.2.2 指定 Native VLAN

所谓 Native VLAN ，也叫缺省 VLAN ，在这个接口上收发未标记的报文，都被认为是属于这个 VLAN 的。通常 VLAN 1 作为缺省的Native VLAN ，最好不要删除。

当一个未标记的帧经过 trunk 口时，会打上 Native VLAN 的标记；一个已标记的帧经过 trunk 口时，如果其标记的 VLAN与 trunk 口的Native VLAN 相同，则会剥去标记。

一个交换机的端口若定义为 Access Port ，在未将此端口分给任何VLAN 时，缺省情况下属于 VALN 1 ，此时其 Native VLAN 也就是VALN 1 。若将此端口划分给某个 VLAN （如 VLAN 10 ），则此VLAN即为本端口的 Native VLAN ，它只能传输属于这个 VLAN 的帧，其他帧不能传输。

一个交换机的端口若定义为 Trunk port ，它能传输多个 VLAN 的数据帧，在没有特别指定的情况下，此 Trunk port的 Native VLAN为VLAN 1 。如果此 Trunk port的 Native VLAN 不是 VLAN 1 ，则必须用 switchport trunk native vlan 10 来指定 Native VLAN为 vlan 10。用 no switchport trunk native vlan 来恢复 Native VLAN为 vlan 1 。

在配置 Trunk 链路时，必须保证连接链路的两个端口的 Trunk 口属于相同的 native VLAN 。

4.3 虚拟局域网的基本配置

4.3.1 VLAN 的基本配置和常规命令

交换机端口 MAC 地址 VLAN ID

F0/1 AAA.AAA.AAA 10

F0/2 BBB.BBB.BBB 20

F0/3 CCC.CCC.CCC 10

表 4-1 交换机端口与 VLAN间的对应关系

1 ．配置 Port VLAN 的基本步骤

（ 1 ）创建 VLAN10 ，将它命名为 test 的例子 Switch# configure terminal Switch(config)# vlan 10 Switch(config-vlan)# name test Switch(config-vlan)# end （ 2 ）把接口 0/10 加入 VLAN10 Switch# configure terminal Switch(config)# interface fastethernet 0/10 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10 Switch(config-if)# end （ 3 ）将一组接口加入某一个 VLAN Switch(config)#interface range fastethernet 0/1-8， 0/15， 0/20 Switch(config-if-range)# switchport access vlan 20 注：连续接口 0/1-8 ，不连续接口用逗号隔开，但一定要写明模块编号

2 ．配置 Tag VLAN-Trunk 的常用命令

（ 1 ）把 Fa0/1 配成 Trunk 口 Switch# configure terminal

Switch(config)# interface fastethernet0/1

Switch(config-if)# switchport mode trunk

（ 2 ）把端口 Fa0/20 配置为 Trunk 端口，但是不包含 vlan 2：

Switch(config)# interface fastethernet 0/20

Switch(config-if)# switchport trunk allowed vlan remove 2

Switch(config-if)# end

3 ．配置 Native VLAN

（ 1 ）将 vlan 20指定为 native vlan Switch(config)# interface fastethernet 0/20 Switch(config-if)# switchport trunk native vlan 20 Switch(config-if)# end（ 2 ）将 fastethernet 0/20的 native vlan 恢复到 VLAN 1 Switch(config)# interface fastethernet 0/20 Switch(config-if)# no switchport trunk native vlan Switch(config-if)# end 注意：每个 Trunk 口的缺省 native VLAN是 VLAN 1 在配置 Trunk链路时，要确保连接链路两端的 Trunk 口属

于相同的 native VLAN

4 ．其他 VLAN 配置命令

（ 1 ）显示所有的 VLAN Switch# Show vlan（ 2 ）显示某一端口的相关信息包括 VLAN， TRUNK 等 Switch# Show interface fastethernet0/20 swithchport（ 3 ）将 VLAN 信息保存到 flash 中 Switch# write memory（ 4 ）从 flash 中只清除 VLAN 信息 Switch# delete flash:vlan.dat（ 5 ）从 RAM 中删除 VLAN Switch(config)# no vlan VLAN-id

4.3.2 跨交换机配置 VLAN

在同一台交换机上可以创建不同的 VLAN，每个 VLAN 是一个广播域，因而这两个不同 VLAN 的主机相互不能通信。

在不同的交换机上可以创建相同的 VLAN，要想同一 VLAN内能够相互通信，要么两台交换机上仅有一个 VLAN ，要么两台交换机之间的链路是 TRUNK 。

TRUNK链路连接的两台交换机，只能相同的 VLAN内部通信，不同的 VLAN之间不能通信。

【网络拓扑】【实验目的】（ 1 ）在同一台交换机上创建不同的 VLAN ，验证相互不能 PING 通；

（ 2 ）在不同的交换机上创建相同的 VLAN ；

（ 3 ）配置 TRUNK链路，验证不同的交换机相同的 VLAN能 PING 通；

同于图 4-7



【实验配置】书 P31-32页所示【测试结果】 1 ）同一交换机中划

分不同的 VLAN ，相互不通

2 ）不同交换机中属于同一 VLAN ，通过TRUNK链路，相互能通

【验证命令】 S2126G# ping

192.168.10.1 S2126G# show vlan S2126G# show

interfaces FastEthernet 0/24

S2126G#show interface vlan

S2126G#show interface switchport

S2126G#show interface trunk

4.4 虚拟局域网中数据的转发

下面讲述交换机中 VLAN 数据的转发过程交换机通过MAC 地址表进行数据帧的转发，而引入

VLAN 后，交换机在 MAC 地址表中增加 VLAN 信息，也就是说交换机对每一个 VLAN 都维护一个本 VLAN的MAC 地址表。

在数据转发时，先在同一 VLAN的MAC 地址表中，根据数据帧中的目的 MAC 地址进行查找，若找到的话，就进行转发；若找不到，就向此 VLAN 的网关发送，由此VLAN 网关向其他网段（不同的 VLAN ）进行路由表的查询。

4.4.1 同一 VLAN 不同交换机之间的数据转发

VLAN内的主机彼此间可以自由通信，当 VLAN 成员分布在多台交换机的端口上时，使用 TRUNK 进行通信。如图 4-7 所示， PC1与 PC3之间、 PC2与 PC4之间的数据转发经过 Trunk Link 。

用于实现各 VLAN 在交换机间通信的链路，称为交换机的汇聚链路或主干链路（ Trunk Link ）。用于提供汇聚链路的端口，称为汇聚端口。汇聚端口的速率应在 100Mbps 以上。

引入 VLAN 后，交换机的端口按用途分为访问连接端口（ Access Link）和汇聚连接（ Trunk Link ）端口。访问连接端口连接 PC 机，它只属于某一个 VLAN ，并仅向该 VLAN 发送或接收数据帧。汇聚连接端口属于所有 VLAN 共有，承载所有 VLAN 在交换机间的通信流量。

4.4.2 不同的 VLAN之间的数据转发

由于二层交换机是没有办法使不同的 vlan 进行通信的，若要实现 VLAN 间的通信，就必须为VLAN 设置路由，可使用路由器或三层交换机来实现。

1 ．使用单臂路由实现不同 VLAN 之间的数据转发

2 ．使用三层交换机实现不同 VLAN 之间的数据转发

1 ．使用单臂路由实现不同 VLAN之间的数据转发

对于没有路由功能的二层交换机，若要实现 VLAN间的相互通信，就要借助外部的路由器（单臂路由）来为 VLAN指定默认路由，此时路由器的快速以太网接口与交换机的快速以太网端口，应以汇聚链路的方式相连，并在路由器的快速以太网接口上，为每一个 VLAN创建一个对应的逻辑子接口，并设置逻辑子接口的 IP 地址，该 IP 地址以后就成为该 VLAN 的默认网关（路由）。由于这些逻辑子接口是直接连接在路由器上的，一旦每个逻辑子接口设置了 IP 地址后，路由器就会自动在路由表中为各 VLAN添加路由，从而实现VLAN间的路由转发。如图 4-8 所示。

当路由器的一个接口连接的交换机有多个VLAN 时，这多个 VLAN 通过路由器进行不同 VLAN之间的通信，产生一个链路连接多个子网的单臂路由结构。因此有几个VLAN 就必须建立几个逻辑子接口，给每个逻辑子接口配置 IP 地址，并与相关的VLAN 建立关联，指定交换机与路由器之间链路的封装协议。

图 4-8 同一 VLAN 不同交换机之间的数据转发

2 ．使用三层交换机实现不同 VLAN之间的数据转发

和物理网络一样，一个 VLAN 通常和一个 IP子网联系在一起。所有在同一个 IP子网中的主机属于同一个 VLAN。 VLAN之间的通讯可以通过三层设备（路由器或者三层交换机）。使用三层交换机来配置 VLAN 和提供 VLAN间的通讯，比使用路由器更好，配置和使用也更方便。

三层交换机与二层交换机之间的连接有多种方式，可以定义三层交换机的连接口为以下几种情况：

（ 1 ）三层路由口 (routed port)：它相当于一个路由器的物理接口，通过 no switchport命令把一个三层交换机的接口设为三层接口而非缺省时的二层接口。在三层交换机上，每个接口都可以定义为三层路由口，为其配置 IP 地址，连接某一个网络，通常采用此方式，与二层交换机的连接，二层交换机仅属于同一 VLAN ，三层交换机的三层路由口作为此 VLAN 的网关接口。

（ 2） TRUNK 口，也可以将多个二层接口聚合成一个逻辑接口，再使此聚合口为 TRUNK 口，这样下连的二层交换机可以定义多个 VLAN ，这多个 VLAN通过相互间连接的 TRUNK 口到达三层交换机，在三层交换机中定义虚拟交换接口 (SVI) ，也就是各 VLAN 的网关，从而通过三层交换机的路由模块，使不同的 VLAN间转发数据。

锐捷的三层交换机可以通过 SVI 接口（ switch virtual interfaces ）来进行VLAN之间的 IP 路由。通过 interface vlan 接口配置命令来创建一个 SVI 接口，然后给 SVI 接口分配一个 IP 地址，此 IP 地址就是这个 VLAN 中所有主机的默认网关，从而建立 VLAN之间的路由。

（ 3 ）三层模式下的聚合链路 (L3 Aggregate Link)：它将多个三层接口进行聚合，成为一个逻辑的三层接口，再给此聚合成的逻辑接口定义为三层口，并指定其 IP 地址。

（ 4） ACCESS 接口。如果将三层交换机与二层交换机之间的连接口定义为ACCESS 接口，则下连的二层交换机必须属于同一 VLAN ，与此 ACCESS 接口的 VLAN 相同。

类似地，三层交换机与三层交换机之间的连接也有多种方式，分为以下几种情况：

（ 1 ）三层路由口 (routed port)：上下均为三层接口，属于同一网段，它相当于两个路由器互连，通常要通过三层协议达到两台三层交换机之间的不同网络相互通信。

（ 2） TRUNK 口，也可以将多个二层接口聚合成一个逻辑接口，再使此聚合口为 TRUNK 口，这样下连的三层交换机相当于一台二层交换机，配置简单，但如果 VLAN 较多，此链路容易堵塞。

（ 3 ）三层模式下的聚合链路 (L3 Aggregate Link)：它将多个三层接口进行聚合，成为一个逻辑的三层接口，再给此聚合成的逻辑接口定义为三层口，并指定其 IP 地址，这种方式同于（ 1 ），相当于两台路由器互连，只不过增加了链路的带宽。

（ 4） ACCESS 接口。两个三层交换机的 ACCESS 接口属于同一VLAN ，且下连的三层交换机都属于此 VLAN ，否则，其它 VLAN 的数据不能到达此 ACCESS 接口。

4.5 三层交换技术 4.5.1 三层交换技术的基本原理 VLAN 的默认设置是 VLAN之间不允许通讯，要实现 VLAN 之间的通讯，必须使用路

由器。但是路由器要把每一个数据包的目的地址与自己的路由表项对比以决定数据包的去向，处理速度相对缓慢，如果在大型网络核心中使用路由器来进行 VLAN间的数据交换将降低整个网络的效率。更重要的是，路由器的端口数有限，从而限制了子网的连接个数。于是产生了将交换机的快速交换能力和路由器的路由寻址能力结合起来的三层交换技术。

简单地说，三层交换技术就是：二层交换技术＋三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。

三层交换（也称多层交换技术，或 IP 交换技术）是相对于传统交换概念而提出来的。传统的交换技术是在 OSI 网络标准模型中的第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。

一个具有三层交换功能的交换机，是一个带有第三层路由功能的交换机，是交换技术和路由技术的有机结合，并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。

硬件上，三层交换机的接口模块同二层交换机的接口模块一样，是通过高速背板 /总线（速率在几十 Gbps 以上）交换数据的，而第三层路由硬件模块也是插接在高速背板 /总线上。这就使得路由模块可以与需要路由的其他模块间高速地交换数据，从而突破了传统路由器接口速率的限制，实现高速路由交换。对数据包的转发，如 IP/IPX 的转发，可通过硬件完成。

软件上，路由信息的更新、路由表的维护、路由的计算、路由的确定等，都是由软件完成。

4.5 三层交换技术

下面简述两个使用 IP 协议的两台主机通过第三层交换机进行通信的过程。如图 4-9 所示，有 4 台主机与三层交换机互联。

图 4-9 三层交换机通信过程


假设两个使用 IP 协议的站点 A、 B 通过第三层交换机进行通信，发送站点 A 在开始发送时，将自己的源 IP 地址 192.168.10.1与 B站的目标 IP 地址 192.168.10.2 进行比较，判断 B站是否与自己在同一子网内。目的站 B 与发送站 A 在同一子网内（ VLAN 10 ），则进行二层的转发。

二层转发的具体步骤如下：（ 1 ）站点 A 在转发数据前，必须得到站点 B 的 MAC 地址在站点 A 上从应用层到传输层、再到网络层，封装成了 IP 数据包，

其目标 IP 为站点 B的 IP192.168.10.2 和源 IP 为站点 A的192.168.10.1均放在包头内。从网络层到数据链路层时，必须知道目标的 MAC 地址，才能封装从数据帧，以便由物理层完成一个个 Bit的转发。

站点 A 首先查看自己的 ARP 表（ Windows 中用 arp –r命令查看ARP 表，将显示 IP 地址 Internet Address 、与 MAC 地址 Physical Address 的对应关系）。如果在 ARP 表中找不到目标 IP 地址所对应的MAC 地址，站点 A 必须发送一个 ARP 广播报文，请求站点 B的MAC 地址。


该 ARP 请求报文进入交换机后，交换机首先进行源MAC 地址学习，二层芯片自动把站点 A的MAC 地址 0011.2F06.E011 以及进入交换机的端口号 1 等信息填入到二层芯片的 MAC 地址表中（ MAC 地址表是 MAC 地址与端口之间的对应关系）。由于此时是一个 ARP 广播报文，交换机把这个广播报文从进入交换机端口所属的 VLAN 10 中进行广播。站点 B 收到这个 ARP 请求报文之后，会立刻发送一个ARP回复报文，这个报文是一个单播报文，源MAC 地址为站点 B的MAC 地址 0011.2F06.E012 ，目的 MAC 地址为站点 A的MAC 地址0011.2F06.E011 。该报文进入交换机后，交换机同样进行源MAC 地址学习，二层芯片同样把站点 B的MAC 地址 0011.2F06.E012 以及站点 B 进入交换机的端口号 2 等信息填入到二层芯片的 MAC 地址表中，此时二层芯片就完成了站点 A和 B 与端口之间的对应关系（MAC 地址与端口之间的对应表）。根据此 MAC 地址表中，交换机就能把此单播报文从站点 A 对应的端口中转发给站点 A 。

一旦站点 A知道站点 B的MAC 地址后，就在自己的 ARP 表中记录了站点 B的 IP 地址和 MAC 地址之间的对应关系。


（ 2 ）站点 A 产生数据帧（帧 1 ），并在物理层发送此数据帧。

（ 3 ）交换机收到站点 A 发来的帧 1 后，首先在此数据帧上加上 VLAN 10 的标记，变成帧 2 ，然后交换机通过查找MAC 地址表（交换机上的命令为 show mac-address-table ），发现站点 B 连在交换机的端口 2 上；因此第二层交换模块将数据帧 2去除 VLAN 10标记后，又变成了帧 1 ，从端口 2 发送给站点 B 。

（ 4 ）以后 A、 B之间进行通信或者同一网段的其他站点想要与 A 或与 B 通信，交换机只要通过查找MAC 地址表就知道该把报文从哪个端口送出了。如果在查找MAC地址表时找不到匹配表项，交换机就会在进入端口所属的VLAN 中广播，从而得到目标MAC 地址与端口的对应关系。这些都是由二层交换模块完成的。


下面我们看一下两个站点通过三层模块实现跨 VLAN 的通信是怎样一个过程。

（ 1 ）站点 A 向站点 C 发送数据时，站点 A检查出自己与站点 C 不在同一子网内（分属 VLAN10， VLAN20 ），因此站点 A 将把数据发送给自己的默认网关（默认网关通过 TCP/IP 协议中已指定）。

站点 A 同样把数据从应用层到传输层，到网络层，封装成了 IP 数据包，其目标 IP 为站点 C的 IP192.168.20.1 和源 IP 为站点 A的192.168.10.1均放在包头内。从网络层到数据链路层时，必须得到默认网关的 MAC 地址。

站点 A 先查自己的 ARP 表，找到默认网关的 IP 地址与 MAC 地址的对应关系。如果 ARP 表中没有这一项，同样要向此“默认网关”发出 ARP 请求报文，而“默认网关”的 IP 地址其实就是三层交换机上站点 A 所属 VLAN的 IP 地址（ SVI 地址）。当发送站 A 对“默认网关”的 IP 地址广播出一个 ARP 请求时，交换机就向发送站 A回一个ARP回复报文，告诉站点 A 交换机此 VLAN 10的MAC 地址，同时通过软件把站点 A的 IP 地址、 MAC 地址、与交换机直接相连的端口号等信息记录到三层模块相关表项中。

站点 A 收到这个 ARP回复报文之后，产生数据帧（帧 3 ），并向交换机的第三层模块发送此数据帧 3 。


（ 2 ）交换机收到此数据帧 3 后，加上 VLAN 10 的标记，形成数据帧 4 ，交给交换机的第三层模块，第三层模块像路由器一样处理数据包。

首先第三层模块打开此数据帧 4 ，取出其中的 IP 包，根据目标 IP 地址 192.168.20.1 ，查找路由表，在三层交换机上用 show ip route 命令，效果如下：

C 192.168.10.0/24 is directly connected, Vlan10 C 192.168.20.0/24 is directly connected, Vlan20 从而找到了目标路由为直连网段之一（ VLAN 20 ）。如果路由表中没有找到匹配的表项，则第三层模块会把 IP 包送给 CPU 处理，进行软路由，或报出错。

（ 3 ）交换机第三层模块再将此 IP 包从 VLAN 10 转到 VLAN 20的 SVI 接口上，准备重新封装成新的数据帧。

在三层交换机中找 ARP 表（ show arp ），查找站点 C的 IP 地址所对应的 MAC 地址，如果没有找到，则在 VLAN 20范围内进行 ARP 广播。从下列表中可知，三层交换机的多个 VLAN的 SVI的MAC 地址都是其三层模块的 MAC 地址（ Hardware Addr： 00E0.F90E.ACE0 ）。

Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.10.1 1 0011.2f06.e011 ARPA Vlan10 Internet 192.168.10.254 - 00E0.F90E.ACE0 ARPA Vlan10 Internet 192.168.20.1 1 0011.2f06.e021 ARPA Vlan20 Internet 192.168.20.254 - 00E0.F90E.ACE0 ARPA Vlan20 然后，将源MAC 地址为 VLAN 20的 Hardware Addr： 00E0.F90E.ACE0 ，目标MAC 地址

为站点 C的MAC 地址 0011.2f06.e021 ，形成新的数据帧 5 （含有 VLAN 20 的标记）。交换机的第二层模块收到数据帧 5 后，再根据站点 C的MAC 地址 0011.2f06.e021 ，在二层模块中查找 VLAN 20 中的 MAC 地址表，找出站点C 所在的端口 f0/3 。


（ 4 ）交换机第三层模块把此数据帧 5去除 VLAN 20 标记，产生数据帧 6 从站点 C 所在的端口 f0/3 转发出去。

（ 5 ）经过一次路由后，交换机的二层模块中已经保留了不同 VLAN 两站点的 MAC 地址，如下所示：

Vlan Mac Address Type Ports 10 00d0.97d1.3e61 DYNAMIC Fa0/1 20 000d.bde9.227e DYNAMIC Fa0/2 因此，下一次站点 A、 C之间再通信时，交换机直接把

数据帧从指定的端口转发出去。而不必再将数据交三层模块进行拆帧、查路由表、封帧的过程。这就是所谓的“一次路由，多次交换”的工作模式，大大提高了转发速度。

4.5.2 三层交换技术的基本配置

【网络拓扑】如图 4-9【实验环境】如图 4-9【实验目的】（ 1 ）在一台三层交换

机上创建不同的 VLAN；（ 2 ）验证不同的

VLAN 相互 PING 通；图 4-9 三层交换机通信过程


【实验配置】 (重要步骤如下 ) 交换机 S3550-24: Switch(config)# int vlan 20 注：创建虚拟接口 vlan 20 Switch(config-if)#ip address 192.168.20.254

255.255.255.0 注：配置虚拟接口 vlan 20 的地址为 192.168.20.254 Switch(config-if)#no shutdown 注：手工打开虚拟接口 vlan 20 Switch(config-if)#exit 注：返回到全局配置模式


【验证命令】 Switch# show ip int 【测试结果】将 PC A、 PC B、 PC C、 PC D 分别插到端口

1 、端口 2 、端口 3 、端口 4 上，将 PC A 、 PC B、 PC C、 PC D 的地址分别为192.168.10.1、 192.168.10.2、 192.168.20.1、 192.168.20.2； PC A 和 PCB 的默认网关设置为 192.168.10.254， PC C和 PC D 的默认网关设置为 192.168.20.254 。在 PC A上PING192.168.10.2、 192.168.20.1、 192.168.20.2 ，都能 PING 通；

4.6 单臂路由在虚拟局域网中的应用

【网络拓扑】同于图 4-8【实验环境】（ 1 ）把几台主机与一台二

层交换机相连，建立两个VLAN： 2 和 3

（ 2 ）将二层交换机的 24 号端口与一台路由器相连

【实验目的】掌握单臂路由的配置方法

，使不同 VLAN 的两台主机能够 ping 通对方

图 4-8 同一 VLAN 不同交换机之间的数据转发


【实验配置】书 p41-42页（重点关注路由器的配置） /* 配置子端口，子端口号 10 自定，但不能与 VLAN 号相同 */ R2632(config)# int f1/0.10 /* 封装命令为 enc dot1q VLAN 号， 2为 VLAN 号 */ R2632(config-subif)# enc dot1q 2 /* 设置子端口的 IP 地址为 192.168.2.1 */ R2632(config-subif)# ip add 192.168.2.1 255.255.255.0 R2632(config-subif)# no shut R2632(config-subif)# exit /* 配置子端口，子端口号这 20 自定 */ R2632(config)# int f1/0.20 /* 封装命令为 enc dot1q VLAN 号， 3为 VLAN 号 */ R2632(config-subif)# enc dot1q 3 R2632(config-subif)# ip add 192.168.3.1 255.255.255.0 R2632(config-subif)# no shut R2632(config-subif)# exit


【测试结果】（ 1 ）将 VLAN2 中的计算机

PC1和 PC2的 IP 地址设置在192.168.2.0/24 的网段，网关为为 192.168.2.1 ，将 VLAN3中的计算机 PC3 等的 IP 地址设置在 192.168.3.0/24 的网段，网关为192.168.3.1， VLAN2 中的计算机 PING VLAN3 中的计算机，能通。

【验证命令】在 PC 1 上 ping 192.168.2.1 ping 192.168.2.10 ping 192.168.3.1 ping 192.168.3.10 在二层交换机上 S2126G# show vlan S2126G# show interfaces

FastEthernet 0/24 S2126G# show interface vlan S2126G# show interface

switchport S2126G# show interface

trunk

4.7 虚拟局域网的综合配置

4.7.1 多层交换结构中三层交换机的配置在多层交换结构中三层交换机下连多台二层交换

机，采用最常用的配置方式，在三层交换机中定义 SVI ，完成三层转发；在三层交换机与二层交换机之间采用 TRUNK链路，并限制此 TRUNK链路上的 VLAN ，实现各子网的互联。

多层交换结构中三层交换机的配置【网络拓扑】【实验环境】

（ 1 ）在三层交换机端口 1上接一台二层交换机，端口 24 上接另一台二层交换机，作为 TRUNK链路，如图 4-10 所示

（ 2 ）在二个二层交换机上分别划分二个不同的虚拟局域网

（ 3 ）在三层交换机上其他的端口划分二个不同的虚拟局域网

（ 4 ）在 VLAN10 的虚拟局域网中的计算机在 IP 地址在 192.168.10.0/24 网段，网关为 192.168.10.254；在 VLAN20 的虚拟局域网中的计算机在 IP 地址在192.168.20.0/24 网段，网关为 192.168.20.254

图 4-10 三层交换机连接的多层结构

多层交换结构中三层交换机的配置【实验目的】（ 1 ）熟悉二层交换机和三层交换机 VLAN 的配置方法（ 2 ）掌握不同的 VLAN之间通信的方法【实验配置】书上 P39-41页【测试结果】（ 1 ）不仅同在一个 VLAN 中的计算机能 PNG 通，而且属不同 VLAN 的计算机也能 PING 通。

（ 2 ）要想不同 VLAN之间能相互通信，其中一种方法是在三层交换机上创建 VLAN 的虚拟接口 SVI ，并设置对应VLAN 中的计算机的网关为 VLAN 的虚拟接口 IP 地址。

多层交换结构中路由器的配置

用一台路由器，其两个以太网口分别连接两台二层交换机，每个二层交换机划分了不同的 VLAN ，对路由器和交换机进行配置，使全网互通。

【网络拓扑】

图 4-11 路由器连接的多层结构

多层交换结构中路由器的配置

【实验环境】（ 1 ）在路由器端口 f1/0 上接一台二

层交换机，端 f1/1 上接另一台二层交换机。二层交换机与路由器之间建立TRUNK链路，如图 4-11 所示。

（ 2 ）在两个二层交换机上分别划分两个不同的虚拟局域网 VLAN 2、 3、 4、 5 。

（ 3 ）在路由器上的两个以太网端口上建立等量的逻辑子接口， f1/0.2 、 f1/0.3、 f1/1.4 、 f1/1.5 。

（ 4） VLAN2： 192.168.2.0/24 网段，网关为 192.168.2.1； VLAN3：192.168.3.0/24 网段，网关为192.168.3.1。 VLAN4：192.168.4.0/24 网段，网关为192.168.4.254， VLAN5：192.168.5.0/24 网段，网关为192.168.5.254 。

【实验目的】（ 1 ）熟悉二层交换机和路由器的综

合配置方法（ 2 ）掌握不同 VLAN之间通信的方

法

【实验配置】这里只给出路由器的配置： R2632-1： R2632-1(config)# int f1/1.4 R2632-1(config-subif)# enc dot1q 4 R2632-1(config-subif)# ip address 192.168.4.1

255.255.255.0 R2632-1(config-subif)#no shut R2632-1(config-subif)# exit R2632-1(config)# int f1/1.5 R2632-1(config-subif)# enc dot1q 5 R2632-1(config-subif)# ip address 192.168.5.1

255.255.255.0 R2632-1(config-subif)# no shut R2632-1(config-subif)# exit R2632-1(config)# int f1/0.2 R2632-1(config-subif)# enc dot1q 2 R2632-1(config-subif)# ip address 192.168.2.1

255.255.255.0 R2632-1(config-subif)# no shut R2632-1(config-subif)# exit R2632-1(config)# int f1/0.3 R2632-1(config-subif)# enc dot1q 3 R2632-1(config-subif)# ip address 192.168.3.1

255.255.255.0

多层网络结构中三层交换机与路由器的综合配置

用一台路由器的一个以太网接口与三层交换机相连，在三层交换机上连接了不同的子网，使各个子网能够访问路由器所连接的外网。

【网络拓扑】

图 4-12 路由器连接的多层结构


【实验环境】（ 1 ）如图 4-12 所示。在路由器端口 f1/1 上连接一台三层交换机，在三层交换机上划

分两个不同的虚拟局域网 VLAN 4、 5 ，代表不同的局域网内网的各个子网。 VLAN4： 192.168.4.0/24 网段，网关为 192.168.4.254 ，其计算机的 IP 地址为： 192.168.4.4。 VLAN5： 192.168.5.0/24 网段，网关为 192.168.5.254 ，其计算机的 IP 地址为：192.168.5.5 。

（ 2 ）在路由器另一端口 f1/1 上连接一台了 PC 机， IP 地址为 192.168.0.2 ，代表外部的网络。

（ 3 ）三层交换机与路由器之间的连接，可以定义三层交换机 f0/23 口为：属于 VLAN 1的 ACCESS 口，使路由器的 f1/1与 VLAN 1 在同一网段，在三层交换机

上设置默认路由到下一跳的地址（ f1/1 的口地址），并定义每一个 VLAN 的 SVI ，使各子网通过三层交换机互访。这种设置的优势是三层交换机内网之间的访问全部限制在三层交换机内部，由于园区网中内网的带宽很高，大都在千兆，有的甚至在万兆以上，从而减少了访问外网的压力。

TRUNK 口，在三层交换机上定义的 TRUNK 口，能使每一个 VLAN 都能通过，因而无论是 VLAN 4 ，还是 VLAN 5 都会将自己的数据包发给此 TRUNK 口，从而增加了路由器处理这些仅需内部交换的数据包的负担。但是如果内网之间相互访问很少，大都是访问外网，且即使内网相互访问也要受到限制时，就可以通过路由器来转发各子网间的数据，并定义访问控制列表（目前有些三层交换机不支持子网间的访问控制），此时是把三层交换机当二层交换机使用。

三层口，这种方式将三层交换机当作一台路由器使用，三层交换机与路由器之间通过三层路由协议，互相学习路由，实现全网互通。三层交换机内的子网通过二层转发或 SVI三层路由实现互通，而外部网络通过路由表进行转发。


【实验目的】（ 1 ）熟悉多层网络结构中三层交

换机和路由器的综合配置方法（ 2 ）掌握多层网络结构中交换机

和路由器之间不同连接方法中的区别

【实验配置】这里只给出主要的参考步骤： 1．路由器的主要配置 R2632-1(config)# interface

FastEthernet 1/0 R2632-1(config-if)# ip address

192.168.0.254 255.255.255.0 ! R2632-1(config)# interface

FastEthernet 1/1 R2632-1(config-if)# ip address

192.168.1.1 255.255.255.0 !定义两条静态路由 R2632-1(config)# ip route

192.168.4.0 255.255.255.0 192.168.1.2

R2632-1(config)# ip route 192.168.5.0 255.255.255.0 192.168.1.2

多层网络结构中三层交换机与路由器的综合配置 2．三层交换机中 f0/23 口的配置 ( 分三种情况 )

（ 1 ）定义三层交换机 f0/23 口为 VLAN 1的ACCESS 口

S3760 (config)# interface f0/23 S3760 (config-if)# switchport mode

access S3760 (config-if)# switchport access vlan

1 S3760 (config)# interface VLAN 1 S3760 (config-if)# ip address 192.168.1.2

255.255.255.0 （ 2 ）定义三层交换机 f0/23 口为 TRUNK 口 S3760 (config)# interface f0/23 S3760 (config-if)# switchport mode trunk S3760 (config)# interface VLAN 1 S3760 (config-if)# ip address 192.168.1.2

255.255.255.0 （ 3 ）定义三层交换机 f0/23 口为三层路由

口 S3760 (config)# interface f0/23 S3760 (config-if)# no switchport S3760 (config-if)# ip address 192.168.1.2

255.255.255.0

3．三层交换机中其它配置 S3760 (config)# interface VLAN 4 S3760 (config-if)# ip address

192.168.4.254 255.255.255.0 ! S3760 (config)# interface VLAN 5 S3760 (config-if)# ip address

192.168.5.254 255.255.255.0 !定义一条静态路由 S3760 (config)# ip route

192.168.0.0 255.255.255.0 192.168.1.1

或定义一条默认路由 S3760 (config)# ip route 0.0.0.0

0.0.0.0 192.168.1.1


【测试结果】（ 1 ）在各计算机上使不同 VLAN 中的计算机都能PING 通。

（ 2 ）在路由器上能PING 通各计算机

【验证命令】 S3760# show vlan S3760# show interfaces

FastEthernet 0/1 S3760# show interface vlan 2 S3760# show interface

switchport S3760# show interface trunk S3760# show ip route R2632-1# show ip route R2632-1# ping 192.168.4.4 通

PC4 R2632-1# ping 192.168.5.5 通

PC5 PC2:\> ping 192.168.4.4 PC2:\> ping 192.168.5.5 PC4:\> ping 192.168.0.2 PC5:\> ping 192.168.0.2

LOGO

Documents

虚拟局域网